La réglementation RGPD impose plusieurs obligations en matière de traitement des données personnelles. Mais quelles sont-elles exactement ? Quelle est la durée de conservation des données dans le cadre du RGPD ? Quelles sont donc les règles d’archivage des données par rapport à ce RGPD ?
Le Règlement Général sur la Protection des Données est un texte réglementaire renforçant la protection des données personnelles des personnes physiques. Il s’applique à l’échelle européenne depuis le 25 mai 2018.
Cet ensemble de règles vise à protéger les données à caractère personnel des citoyens.
Celles-ci désignent les informations se rapportant à une personne physique identifiée ou identifiable comme son nom, son adresse, son mail, ou son adresse IP.
Le RGPD encadre ainsi la collecte, le traitement et les transferts de l’ensemble de ces données.
Ainsi, tout individu concerné doit donner son consentement explicite pour que ses données personnelles soient collectées et traitées. Il doit également être informé de manière transparente et exhaustive sur les finalités du traitement, les données collectées, les destinataires des données, la durée de conservation des données et les droits dont il dispose.
Rappelons tout d’abord ce que ce règlement vous impose, concrètement.
RGP et archivage sont étroitement liés dans la mesure où votre structure va conserver des documents comportant parfois des données à caractère personnel (ex : documents RH). Aussi, votre structure veillera à mettre en place un archivage sécurisé, que les documents soient au format physique ou électronique. Elle s’assurera également de ne conserver que les documents nécessaires, limitant ainsi le volume de données à caractère personnel qu’elle conservera.
Pour les documents physiques (ex : archivage papier), la sécurisation des données passe par des locaux et équipements adéquats. On pensera par exemple à des dispositifs comme des antivols, anti-incendie… en plus du respect de plusieurs normes liées à l’humidité ou la température pour garantir la bonne conservation des documents.
Sans oublier de chiffrer les données et doter chaque poste de travail d’outils de pare-feu et d’antivirus à jour.
Enfin, le RGPD vise à renforcer le droit des personnes physiques quant à l’usage fait de leurs données personnelles. Les individus peuvent ainsi faire appliquer le droit :
D’accès : ce droit permet à quiconque de connaître quelles données sont collectées à son sujet et d’obtenir une copie de l’ensemble de ces informations.
De rectification : faire modifier des informations personnelles qui seraient erronées.
De portabilité : droit par lequel un individu peut récupérer ses données dans un format exploitable pour les transférer vers un autre service.
À l’oubli : un individu peut demander la suppression de ses données personnelles une fois que celles-ci ne sont plus requises pour les finalités pour lesquelles elles avaient été collectées.
Des droits fondamentaux qui concernent directement RGPD et archivage au vu des nombreux documents, et donc des informations, dont peut avoir besoin toute structure concernant une personne physique.
Cet archivage consiste à stocker des données à long terme pour des raisons juridiques, réglementaires ou de conformité, ainsi que pour des raisons opérationnelles. Elles sont conservées dans un format qui garantit leur intégrité et leur sécurité, et le sont généralement pendant plusieurs années.
On peut alors avoir un archivage au format papier, numérique, ou les deux. Un processus qui nécessite une extrême rigueur tant pour des raisons organisationnelles que légales et financières.
Qui plus est, tous les documents n’ont pas vocation à être conservés sur la même durée. Certains le sont durant quelques années, d’autres pendant des décennies voire sans limitation de durée.
Quand on parle de RGPD et archivage, on parle indéniablement de durée de conservation des données. Tout d’abord, car le RGPD tient compte de la durée nécessaire pour garder (ou non) les données personnelles.
Ensuite car cette durée de conservation doit également se conformer aux différentes lois qui exigent une période minimale pour garder les archives.
Cette première étape correspond au moment où les données sont utilisées pour les activités courantes de votre structure. On parle aussi d’archives courantes pour désigner les documents concernés.
Si vous êtes avocat par exemple, les données conservées en base active seront celles concernant les clients des affaires en cours.
Voir aussi : quelles obligations pour les avocats en matière d’archivage ?
Ces documents font l’objet d’un stockage physique ou numérique. Cette durée de stockage varie selon la nature de chaque document. On trouve ainsi des archives intermédiaires à conserver deux ans, d’autres à conserver dix ans minimum (ex : données de facturation ou comptables).
Voir aussi : la conservation des documents comptables
RGPD et archivage se retrouvent là encore étroitement corrélés : plusieurs documents comportant des données personnelles peuvent faire l’objet d’une consultation tout au long de leur durée de conservation. Votre structure doit donc tout mettre en œuvre pour assurer l’accès mais aussi la sécurité aux documents concernés.
Dans de nombreux cas, votre structure procèdera à la destruction des archives une fois la durée de conservation (légale et organisationnelle) échue.
Mais dans certains cas, les données présentent un caractère historique ou patrimonial. Ces informations feront alors l’objet d’un archivage définitif auprès du service départemental des archives.
Le RGPD concerne tous les organismes amenés à collecter ou traiter des données personnelles. Aussi, les structures émettant des documents comportant ce type d’informations (ex : archivage de dossier médical) doivent s’y conformer. La taille de votre structure et son activité n’ont aucune influence sur l’application de cette obligation.
Cela passe par des mesures garantissant que ces données soient collectées, stockées et traitées de manière légale, équitable et transparente.
L’archivage doit ainsi veiller à conserver les documents selon les durées imposées par la réglementation, mais pas seulement. Avec l’entrée en vigueur du RGPD s’ajoute l’obligation de bien garantir leur sécurisation et leur destruction une fois le délai échu.
Enfin, l’archivage concerne de nombreux documents comprenant eux-mêmes des données personnelles. Il peut par exemple s’agir de dossiers administratifs, ou d’une facture à un particulier avec nom, prénom, adresse…
Bien organiser l’archivage des documents en entreprise revêt donc un enjeu réglementaire supplémentaire au vu des obligations du RGPD.
Après avoir présenté la réglementation RGPD, l’archivage, et le lien entre les deux, voyons les règles concrètes en la matière et comment votre structure peut se conformer à ces obligations.
Conformément à l’obligation de transparence du RGPD, vous devez informer la personne concernée de la durée de conservation de ses données personnelles. Celle-ci doit correspondre à la durée d’utilisation du document archivé. S’il existe une durée légale de conservation, celle-ci fait foi. Mais une fois cette durée échue, le document doit faire l’objet d’une destruction (hors documents historiques). Une entreprise de stockage d’archives connaît les durées de conservation exactes de chaque document. Aussi, en lui déléguant vos opérations d’archivage, vous vous assurez du respect de ces règles, mais aussi de celles inhérentes au RGPD.
Des réponses à vos projets d'archivage
SGA conserve 4 millions de conteneurs, soit l´équivalent de 2 000 km linéaires
d´archives, répartis dans les principales villes Françaises.
Rejoignez les 4000 clients qui utilisent SGA pour répondre à leurs besoins d'archivage.
Certfié ISO 9001 et NF-Z-40-350.
Si aucune durée légale n’existe, votre structure est tenue de supprimer ou anonymiser les données si celles-ci n’ont plus vocation à être utilisées.
Dans le cas d’une action en justice, c’est le délai de prescription qui fera foi pour la suppression ou l’anonymisation.
Une bonne solution d’archivage consiste également à procéder à une sélection parmi les documents. Celle-ci se base selon trois grands critères :
Conformément au RGPD, les individus disposent d’un droit d’accès à leurs données personnelles. Ils peuvent à tout moment exiger une copie de l’ensemble des informations que vous possédez les concernant. Une action à réaliser dans un délai d’un mois à compter de la date de la demande.
Cependant, les individus ne peuvent faire valoir le droit à l’oubli ou à l’effacement de leurs données si la conservation de celles-ci est nécessaire aux obligations légales. Il en est de même pour les missions d’intérêt public.
Enfin, dans le cas d’archives définitives, les obligations RGPD ne s’appliquent pas à l’archivage. Les documents sont conservés ad vitam æternam.
La question de la sécurité des données redouble d’importance avec cette réglementation RGPD. Votre organisme doit garantir la mise en œuvre d’infrastructures suffisamment sécurisées pour la bonne conservation des archives et données personnelles qu’elles comportent. Il en va de la responsabilité de votre structure. Une fuite de données aurait des conséquences désastreuses au niveau financier, en termes d’image, mais aussi sur le plan juridique.
Là encore, solliciter un professionnel expert en archivage vous permet de vous assurer d’une sécurité optimale aussi bien pour l’archivage physique qu’électronique.
Face à la complexité entre respect du RGPD et archivage, il est souvent recommandé de passer par un expert dédié à l’ensemble de ces opérations. Toutefois, si vous souhaitez internaliser cette activité, libre à vous de bénéficier de conseils d’archivage pour optimiser ces différentes actions.
La conformité avec le RGPD représente l’un des grands enjeux de l’archivage pour toute structure. Aussi, il convient de déployer les bonnes mesures en la matière, et voyons lesquelles concrètement.
Afin de mieux identifier les moyens de combiner respect du RGPD et archivage, nous vous en proposons une liste sous forme de points, détaillant ce en quoi consiste chaque mesure :
L’article 30 du RGPD précise ce qu’est le registre des activités de traitement, élément essentiel de ce règlement.
Ce registre constitue ainsi un précieux outil pour le respect du RGPD dans l’archivage. Il contribue à un usage raisonné des données personnelles et encadre juridiquement ce qu’il contient et les obligations qui en découlent.
L’article 17 du RGPD précise ce qu’est le droit à l’oubli, également appelé droit à l’effacement des données. Il indique ainsi sous quelles conditions les individus peuvent exiger la suppression de leurs données personnelles.
De manière générale, entreprises et organismes sont soumis à ce droit à l’oubli dès que la conservation des données personnelles ne s’avère plus nécessaire.
Qu’en est-il de ce droit pour le respect du RGPD et l’archivage ? L’article spécifie que les étapes de traitement des archives doivent inclure des règles claires pour répondre aux demandes des utilisateurs.
L’article 83 indique les sanctions si les non-dispositions du règlement ne sont pas respectées. Nous y reviendrons un peu plus bas.
Enfin, l’article 85 aborde quant à lui la question de l’équilibre entre la protection des données personnelles et la liberté d’expression. Il a pour but d’éviter le risque de censure excessive au sein des médias tout en protégeant la vie privée lorsque la diffusion de celles-ci n’est pas justifiée.
Un article de presse peut ainsi ne pas être soumis au droit à l’oubli sur les données communiquées sont jugées d’intérêt public. De même par exemple pour un article scientifique.
Cet ensemble d’obligations complexifie d’autant plus le processus (néanmoins obligatoire) d’archivage. Cependant, votre structure peut facilement s’en décharger en confiant la gestion de ses archives à un expert dont c’est le métier !
Des réponses à vos projets d'archivage
SGA conserve 4 millions de conteneurs, soit l´équivalent de 2 000 km linéaires
d´archives, répartis dans les principales villes Françaises.
Rejoignez les 4000 clients qui utilisent SGA pour répondre à leurs besoins d'archivage.
Certfié ISO 9001 et NF-Z-40-350.
De quoi s’assurer du bon accès aux archives et de la sécurisation des données, mais pas seulement.
En confiant ses archives à un expert, votre structure se protège face aux risques et sanctions en cas de non-conformité. Comme nous allons le voir ci-dessous, les conséquences peuvent être en effet extrêmement lourdes.
Comme évoqué ci-dessus, l’article 83 du RGPD prévoit des sanctions en cas de non-respect de cette législation européenne. Celles-ci sont de deux nature : financière et administrative.
Le non-respect du RGDP dans l’archivage expose votre structure à de lourdes sanctions financières. Celles-ci peuvent aller jusqu’à 20 millions d’euros ou 4% de votre chiffre d’affaires annuel mondial.
Le montant exact de l’amende dépend de la nature, la gravité et la durée du non-respect du règlement.
Outre les amendes, votre structure s’expose à d’autres sanctions si elle ne respecte pas le RGPD. La CNIL peut en effet en déclarer sa mise en demeure suite aux manquements constatés.
Elle peut aussi interdire temporairement ou définitivement le traitement des données concernées. Une sanction mettant sérieusement en péril votre activité.
Enfin, si vous disposez de certifications ou d’autorisations d’exploitation, celles-ci peuvent se voir suspendues. Des conséquences lourdes pour les secteurs extrêmement règlementés.
